security- все статьи тега


Фильтрация входных данных в PHP

Я фильтрую пользовательский ввод таким образом $id= intval($_REQUEST['id']); Я принимаю только целые числа в $id. Есть ли что-нибудь еще, что я могу использовать, чтобы сделать его более безопасным? Спасибо! ...

Принудительный вход пользователя в Symfony 2

Всякий раз, когда я пытаюсь удалить конфигурацию anonymous: ~ в системе безопасности.в формате YML, системы заканчивается, возвращается ошибка 310: перенаправление петли. Это конфигурация до сих пор: firewalls: secured_area: pattern: ^/ #anonymous: ~ form_login: check_path: /login_check login_path: /login logout: path: /logout ...

Экранирование типов данных SQL в инструкции CREATE TABLE

Краткая справка : Мы создаем конструктор форм для нашего веб-приложения. Цель конструктора-позволить нашим администраторам быстро добавлять / изменять формы на нашей странице. Чтобы гарантировать, что данные, собранные этими формами, легко доступны для поиска отчетов, мы решили, что приложение создаст таблицу для каждой формы, которая содержит входные данные пользователя. Осознавая безопасность, все наши имена таблиц и столбцов должным образом экранируются и окружаются при правильном цитат (ка ...

Как определить запрос curl

Есть ли способ определить в моем скрипте, идет ли запрос от обычного веб-браузера или какой-то скрипт, выполняющий curl. Я могу видеть заголовки и могу различать с "User-Agent и другими несколькими заголовками", но в curl поддельные заголовки могут быть установлены, поэтому я не могу отслеживать запрос. Пожалуйста, предложите мне способы идентификации curl или другого подобного запроса без браузера. ...

Серийный номер сертификата PHP SSL в шестнадцатеричном формате

Мне нужно отобразить информацию SSL certificat о серийном номере. Когда я использую $cert = file_get_contents('mycert.crt'); $data=openssl_x509_parse($cert,true); $data['serialNumber'] Я получаю как -5573199485241205751 Но когда я выполняю команду openssl x509-in ' mycert.crt' - noout-серийный номер Я получаю серийный номер=B2A80498A3CEDC09 можно ли получить в PHP? Спасибо. ...

радужные таблицы?

Кто-нибудь знает, почему его называют радужным столом? Просто вспомнил, что мы узнали, что есть атака, называемая "атака словаря". Почему его не называют словарем? ...

Добавление / импорт сертификата с паролем через командную строку Mac OS X

Я пытаюсь импортировать a .сертификат pfx через командную строку. Этот сертификат защищен паролем. Есть ли способ сделать это в терминале? Я использую OS X 10.8. Когда я использую эту команду, я получаю всплывающее окно по умолчанию с запросом пароля: security import certificate.pfx -k ~/Library/Keychains/login.keychain Когда я использую эту команду: security import certificate.pfx -k ~/Library/Keychains/login.keychain -P password Я получаю эту ошибку: SecKeychainItemImport: MAC verif ...

Инъекция нулевого байта в форму загрузки

Я пытаюсь воспроизвести атаку внедрения нулевого байта в форму загрузки. У меня есть такой код: <?php if(substr($_FILES['file']['name'], -3) != "php") { if(move_uploaded_file($_FILES['file']['tmp_name'], $_FILES['file']['name'])) echo '<b>File uploaded</b>'; else echo '<b>Can not upload</b>'; } else echo '<b>This is not a valid file/b>'; ?> Я пытаюсь загрузить файл с таким именем : file.php%00jpg таким образом, он обойдет substr() и буд ...

Какой API и алгоритм следует использовать для шифрования и расшифровки пароля с помощью java

В настоящее время я создаю приложение с использованием Java, я гуглил шифрование паролей с помощью java, но результаты настолько огромны, что я чувствовал себя подавленным. Как я буду шифровать и расшифровывать пароль с помощью Java? А как лучше всего шифровать и расшифровывать пароли? Я предполагаю, что MD5-это не путь, так как это односторонний хэш. Я использую struts2 в качестве фреймворка, мне было интересно, обеспечивают ли они шифрование паролей ...

Закрепление открытого ключа TLS с помощью PHP + Curl?

Я хотел бы установить связь между двумя приложениями, защищенными через TLS 1.2, в котором закреплены открытые ключи конечных точек. (Нет сертификации, участвующих.) Далее, я даже не хочу иметь дело с сертификатами; только открытые ключи RSA / ECDSA. В частности, они оба являются приложениями PHP, и я использую curl для облегчения связи. Кто-нибудь делал это раньше? ...

Рекомендации: солить и перчить пароли?

Я наткнулся на дискуссию, в которой я узнал, что на самом деле я не солю пароли, а перчу их, и с тех пор я начал делать и то и другое с помощью функции, такой как: hash_function($salt.hash_function($pepper.$password)) [multiple iterations] Игнорируя выбранный алгоритм хэша (я хочу, чтобы это было обсуждение солей и перцев, а не конкретных алгоритмов, но я использую безопасный), это безопасный вариант или я должен делать что-то другое? Для тех, кто не знаком с терминами: А соль - это слу ...

Регистрация PHP: автогенерация пароля или возможность его выбора пользователем

Во время регистрации я обсуждаю, как мне Установить пароль пользователя: Пусть пользователь выберет его. Если я делаю это, мне приходится применять некоторые стандарты (длина, слабость, может включать регексы и т. д.) Что вы обычно делаете, когда выбираете этот путь, и почему? Есть ли библиотека, доступная для PHP для этого? Автоматически сгенерируйте пароль для пользователя и отправьте его по электронной почте на указанный им адрес электронной почты. Они не могут войти в систему, не получ ...

Когда TrustManagerFactory не является TrustManagerFactory (Java)

Я пытаюсь добавить дополнительный тест JUnit к существующему продукту App-Server (TomCat). Я столкнулся с проблемой с (существующим и выставленным) пользовательским TrustManager. Эта штука прекрасно работает в производстве, но во время JUnit, дает исключение. Настроенный TrustManager просто загружает хранилище ключей из Пути и неявно доверяет нашим собственным общедоступным сертификатам. По какой-то причине использование этого в JUnits вызывает исключение в следующей строке: TrustManagerFacto ...

Лучшая практика проверки подлинности Web API

Какой из них является наилучшим подходом к аутентификации для веб-API, учитывая, что безопасность данных имеет важное значение и ASP.NET приложение работает в Azure? ...

Фрагмент кода Javascript для защиты от атаки кражи входных данных

Я хочу, чтобы код JavaScript защищал элементы веб-страницы от атаки воровства ввода. Я хочу, чтобы нажатия клавиш перехватывались зарегистрированными обработчиками событий и маскировались от JavaScript на веб-странице, чтобы предотвратить различные атаки JavaScript. ...

Насколько безопасен 64-битный RC2?

При шифровании будут ли два симметричных алгоритма считаться равными с точки зрения безопасности, если их размеры ключей эквивалентны? (то есть обеспечивает ли 64-битный алгоритм RC2 такую же безопасность, как и 64-битный алгоритм AES?) Насколько безопасно (или небезопасно) было бы использовать 64-битный алгоритм RC2? Сколько времени, по-моему, потребуется для атаки грубой силы, чтобы взломать этот вид шифрования? Какие данные можно было бы защитить с помощью этого алгоритм? (например, я пре ...

Создать временный FIFO (именованный канал) в Python?

Как можно создать временный FIFO (именованный канал) в Python? Это должно сработать: import tempfile temp_file_name = mktemp() os.mkfifo(temp_file_name) open(temp_file_name, os.O_WRONLY) # ... some process, somewhere, will read it ... Однако я сомневаюсь из-за большого предупреждения в Python Docs 11.6 и потенциального удаления, потому что он устарел. EDIT : примечательно, что я пытался tempfile.NamedTemporaryFile (и по расширению tempfile.mkstemp), но os.mkfifo бросает: OSError -17: ...

Последствия для безопасности побега / реформирования html в asp.net (работа вокруг validateRequest)

У меня есть asp.Net блеваньте на меня, когда я отправляю форму со значением <a_ (подчеркивание-пробел). Это плохо - по крайней мере, я хочу иметь возможность изящно обрабатывать ошибку, в идеале я хотел бы, чтобы пользователь мог представить все, что ему нравится, и заставить его работать так, как он ожидает. я мог бы установить validateRequest="false" в сети.config, но я не хочу этого делать, потому что не понимаю последствий для безопасности. в этой статье предлагается использовать Ja ...

Безопасность шифрования Exclusive-OR (XOR)

Шифрование XOR, как известно, довольно слабое. Но насколько он слаб, если у меня есть ключ, состоящий из нескольких ключей разной (в идеале простой) длины, которые объединяются, чтобы сделать более длинный ключ. например, у меня есть текстовые клавиши длиной 5, 9 и 11. Если я просто применю первый ключ, используя шифрование XOR, то его будет легко взломать, так как байт шифрования будет повторяться каждые 5 байт. Однако если я "наложу" 3 из этих ключей, я получу эффективную неповторяющуюся длину ...

Как определить, под какой учетной записью работает мой веб-сервис в Visual Studio 2005

Я немного схожу с ума, пытаясь понять док по олицетворению и делегированию, и возник вопрос, под какой учетной записью работает мой веб-сервис. Я зарегистрирован как myDomainNamejohna на моей рабочей станции разработки под названием JOHNXP. С Vstudio2005 я запускаю свой веб-сервис через Debug, и в моем браузере появляется страница wsdl. Из Диспетчера задач, я вижу следующее, сидя в точке останова в моем .код asmx: Aspnet_wp.exe pid=1316 Имя пользователя=ASPNET команда devenv.exe pid=33 ...